Beschrijf voor welk doel het algoritme persoonsgegevens gebruikt en waarom dit mag

owp-03OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProjectleiderJuristPrivacy en gegevensbescherming

Maatregel

Het doel voor het verwerken van persoonsgegevens met een algoritme is welbepaald en omschreven.

Toelichting

Persoonsgegevens mogen alleen worden verwerkt voor een ‘welbepaald, uitdrukkelijk omschreven en gerechtvaardigd’ doel. De wettelijke grondslag voor de verwerking van de persoonsgegevens moet zijn beschreven.

De verwerking van persoonsgevens voor het ontwikkelen en gebruiken van een algoritme moet verenigbaar met het oorspronkelijke verwerkingsdoel (doelbinding). Eventuele verdere (subsidiaire) verwerkingen, zoals het verwerken van persoonsgegevens voor een onderzoek naar onbewuste vooringenomenheid, moeten uitdrukkelijk worden omschreven.

Stel een overzicht op waarin is beschreven welke persoonsgegevens mogen worden verwerkt. Bij de persoonsgegevens is aangegeven om wat voor categorie persoonsgegevens het gaat. Per kenmerk is toegelicht waarom deze noodzakelijk is om te verwerken voor het ontwikkelen en gebruiken van het algoritme. Het principe van dataminimalisatie is toegepast, wat betekent dat een keuze is gemaakt of een persoonsgegevens al dan niet strikt noodzakelijk is om het doel te bereiken of dat verwerking ervan achterwege kan blijven.

Voor het beschermen van deze persoonsgegevens wordt per kenmerk aangegeven op welke manier deze kan worden beschermd. Denk hierbij aan het anonimiseren, pseudonomiseren, aggregeren van de persoonsgegevens.

Gebruik een DPIA om bovenstaande zaken te beschrijven.

Bijbehorende vereiste(n)

Bekijk alle vereisten

Vereiste
avg-01 - Persoonsgegevens worden op een rechtmatige manier verwerkt.
awb-01 - Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten zorgvuldig.

Risico

Als het doel voor het verwerken van persoonsgegevens onvoldoende is omschreven en onderbouwd, ontstaat het risico dat onrechtmatig persoonsgegevens worden verwerken en een inbreuk wordt gemaakt op privacyrechten van betrokkenen.

Bronnen

• Toetsingskader Algoritmes Algemene Rekenkamer, 3.01, 3.05
• Onderzoekskader Algoritmes Auditdienst Rijk, PRI.4
• Onderzoekskader Algoritmes Auditdienst Rijk, PRI.7

Voorbeeld

Heb jij een goed voorbeeld? Laat het ons weten!